Active Directory Methodology
Last updated
Last updated
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Active Directory služi kao osnovna tehnologija, omogućavajući mrežnim administratorima da efikasno kreiraju i upravljaju domenima, korisnicima i objektima unutar mreže. Dizajniran je da se skalira, olakšavajući organizaciju velikog broja korisnika u upravljive grupe i podgrupe, dok kontroliše prava pristupa na različitim nivoima.
Struktura Active Directory se sastoji od tri osnovna sloja: domeni, drveća i šuma. Domen obuhvata kolekciju objekata, kao što su korisnici ili uređaji, koji dele zajedničku bazu podataka. Drveća su grupe ovih domena povezane zajedničkom strukturom, a šuma predstavlja kolekciju više drveća, međusobno povezanih kroz odnos poverenja, formirajući najviši sloj organizacione strukture. Specifična prava pristupa i prava komunikacije mogu se odrediti na svakom od ovih nivoa.
Ključni koncepti unutar Active Directory uključuju:
Direktorijum – Sadrži sve informacije koje se odnose na Active Directory objekte.
Objekat – Označava entitete unutar direktorijuma, uključujući korisnike, grupe ili deljene foldere.
Domen – Služi kao kontejner za objekte direktorijuma, sa mogućnošću da više domena koegzistira unutar jedne šume, pri čemu svaki održava svoju kolekciju objekata.
Drvo – Grupa domena koja deli zajednički korenski domen.
Šuma – Vrhunska organizaciona struktura u Active Directory, sastavljena od više drveća sa odnosima poverenja među njima.
Active Directory Domain Services (AD DS) obuhvata niz usluga koje su ključne za centralizovano upravljanje i komunikaciju unutar mreže. Ove usluge uključuju:
Domen usluge – Centralizuje skladištenje podataka i upravlja interakcijama između korisnika i domena, uključujući autentifikaciju i pretragu funkcionalnosti.
Usluge sertifikata – Nadgleda kreiranje, distribuciju i upravljanje sigurnim digitalnim sertifikatima.
Lagana direktorijumska usluga – Podržava aplikacije omogućene direktorijumom putem LDAP protokola.
Usluge federacije direktorijuma – Pruža mogućnosti jednostavnog prijavljivanja za autentifikaciju korisnika preko više web aplikacija u jednoj sesiji.
Upravljanje pravima – Pomaže u zaštiti autorskih materijala regulisanjem njihove neovlašćene distribucije i korišćenja.
DNS usluga – Ključna za rešavanje domen imena.
Za detaljnije objašnjenje pogledajte: TechTerms - Definicija Active Directory
Da biste naučili kako da napadnete AD, potrebno je da razumete veoma dobro proces Kerberos autentifikacije. Pročitajte ovu stranicu ako još ne znate kako to funkcioniše.
Možete posetiti https://wadcoms.github.io/ da biste imali brzi pregled komandi koje možete pokrenuti za enumeraciju/eksploataciju AD.
Ako imate pristup AD okruženju, ali nemate nikakve kredencijale/sesije, možete:
Pentestovati mrežu:
Skenerite mrežu, pronađite mašine i otvorene portove i pokušajte da eksploatišete ranjivosti ili izvučete kredencijale iz njih (na primer, štampači bi mogli biti veoma zanimljivi ciljevi).
Enumeracija DNS-a može dati informacije o ključnim serverima u domenu kao što su web, štampači, deljenja, vpn, mediji, itd.
gobuster dns -d domain.local -t 25 -w /opt/Seclist/Discovery/DNS/subdomain-top2000.txt
Pogledajte Opštu Metodologiju Pentestinga da biste pronašli više informacija o tome kako to uraditi.
Proverite pristup bez kredencijala i gostujući pristup na smb uslugama (ovo neće raditi na modernim verzijama Windows-a):
enum4linux -a -u "" -p "" <DC IP> && enum4linux -a -u "guest" -p "" <DC IP>
smbmap -u "" -p "" -P 445 -H <DC IP> && smbmap -u "guest" -p "" -P 445 -H <DC IP>
smbclient -U '%' -L //<DC IP> && smbclient -U 'guest%' -L //
Detaljniji vodič o tome kako da enumerišete SMB server može se naći ovde:
Enumeracija Ldap
nmap -n -sV --script "ldap* and not brute" -p 389 <DC IP>
Detaljniji vodič o tome kako da enumerišete LDAP može se naći ovde (obratite posebnu pažnju na anonimni pristup):
Trovanje mreže
Prikupite kredencijale imitujući usluge sa Responder-om
Pristupite hostu zloupotrebom napada relaya
Prikupite kredencijale izlažući lažne UPnP usluge sa evil-SSDP
Izvucite korisnička imena/ime iz internih dokumenata, društvenih mreža, usluga (pretežno web) unutar domena i takođe iz javno dostupnih izvora.
Ako pronađete puna imena radnika kompanije, možete pokušati različite AD konvencije korisničkih imena (pročitajte ovo). Najčešće konvencije su: ImePrezime, Ime.Prezime, ImePrv (3 slova od svakog), Ime.Prv, IPrezime, I.Prezime, PrezimeIme, Prezime.Ime, PrezimeI, Prezime.I, 3 nasumična slova i 3 nasumična broja (abc123).
Alati:
Anonimna SMB/LDAP enumeracija: Proverite pentesting SMB i pentesting LDAP stranice.
Kerbrute enumeracija: Kada se zatraži nevažeće korisničko ime, server će odgovoriti koristeći Kerberos grešku kod KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN, omogućavajući nam da utvrdimo da je korisničko ime nevažeće. Važeća korisnička imena će izazvati ili TGT u AS-REP odgovoru ili grešku KRB5KDC_ERR_PREAUTH_REQUIRED, što ukazuje da je korisnik obavezan da izvrši pre-autentifikaciju.
OWA (Outlook Web Access) Server
Ako ste pronašli jedan od ovih servera u mreži, takođe možete izvršiti enumeraciju korisnika protiv njega. Na primer, mogli biste koristiti alat MailSniper:
Možete pronaći liste korisničkih imena u ovoj github repozitoriji **** i ovoj (statistički-verovatna-korisnička-imena).
Međutim, trebali biste imati ime ljudi koji rade u kompaniji iz koraka rekognosciranja koji ste trebali obaviti pre ovoga. Sa imenom i prezimenom mogli biste koristiti skriptu namemash.py da generišete potencijalna validna korisnička imena.
U redu, znate da već imate validno korisničko ime, ali nemate lozinke... Pokušajte:
ASREPRoast: Ako korisnik nema atribut DONT_REQ_PREAUTH, možete zatražiti AS_REP poruku za tog korisnika koja će sadržati neke podatke šifrovane derivacijom lozinke korisnika.
Password Spraying: Pokušajmo sa najviše uobičajenim lozinkama za svakog od otkrivenih korisnika, možda neki korisnik koristi lošu lozinku (imajte na umu politiku lozinki!).
Imajte na umu da možete takođe spray OWA servere da pokušate da dobijete pristup korisničkim mail serverima.
Možda ćete moći da dobijete neke izazove hash-eve da razbijete trovanjem nekih protokola mreže:
Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay AttacksAko ste uspeli da enumerišete aktivni direktorijum, imaćete više emailova i bolje razumevanje mreže. Možda ćete moći da primorate NTML preusmeravanje napada **** da dobijete pristup AD okruženju.
Ako možete pristupiti drugim računarima ili deljenjima sa null ili gost korisnikom, mogli biste postaviti datoteke (kao što je SCF datoteka) koje, ako se nekako pristupe, će pokrenuti NTML autentifikaciju protiv vas tako da možete ukrasti NTLM izazov da ga razbijete:
Places to steal NTLM credsZa ovu fazu morate imati kompromitovane kredencijale ili sesiju validnog domen korisnika. Ako imate neke validne kredencijale ili shell kao domen korisnik, trebalo bi da zapamtite da su opcije date ranije još uvek opcije za kompromitovanje drugih korisnika.
Pre nego što započnete autentifikovanu enumeraciju, trebali biste znati šta je Kerberos problem dvostrukog skoka.
Kerberos Double Hop ProblemImati kompromitovan račun je veliki korak ka kompromitovanju celog domena, jer ćete moći da započnete Enumeraciju Aktivnog Direktorijuma:
Što se tiče ASREPRoast, sada možete pronaći svakog mogućeg ranjivog korisnika, a što se tiče Password Spraying, možete dobiti listu svih korisničkih imena i pokušati lozinku kompromitovanog računa, prazne lozinke i nove obećavajuće lozinke.
Možete koristiti CMD za osnovno rekognosciranje
Takođe možete koristiti powershell za rekognosciranje što će biti diskretnije
Takođe možete koristiti powerview da izvučete detaljnije informacije
Još jedan neverovatan alat za rekognosciranje u aktivnom direktorijumu je BloodHound. Nije veoma diskretan (u zavisnosti od metoda prikupljanja koje koristite), ali ako vam to nije važno, trebali biste ga svakako isprobati. Pronađite gde korisnici mogu RDP, pronađite put do drugih grupa, itd.
Ostali automatski alati za AD enumeraciju su: AD Explorer, ADRecon, Group3r, PingCastle.
DNS zapisi AD-a jer mogu sadržati zanimljive informacije.
Alat sa GUI koji možete koristiti za enumeraciju direktorijuma je AdExplorer.exe iz SysInternal Suite.
Takođe možete pretraživati u LDAP bazi sa ldapsearch da tražite kredencijale u poljima userPassword & unixUserPassword, ili čak za Description. cf. Lozinka u AD korisničkom komentaru na PayloadsAllTheThings za druge metode.
Ako koristite Linux, takođe možete enumerisati domen koristeći pywerview.
Takođe možete pokušati automatske alate kao:
Ekstrakcija svih korisnika domena
Veoma je lako dobiti sva korisnička imena domena iz Windows-a (net user /domain, Get-DomainUser ili wmic useraccount get name,sid). U Linux-u možete koristiti: GetADUsers.py -all -dc-ip 10.10.10.110 domain.com/username ili enum4linux -a -u "user" -p "password" <DC IP>
Čak i ako ovaj odeljak o enumeraciji izgleda mali, ovo je najvažniji deo svega. Pristupite linkovima (pretežno onima za cmd, powershell, powerview i BloodHound), naučite kako da enumerišete domen i vežbajte dok se ne osećate prijatno. Tokom procene, ovo će biti ključni trenutak da pronađete svoj put do DA ili da odlučite da ništa ne može biti učinjeno.
Kerberoasting uključuje dobijanje TGS karata koje koriste usluge povezane sa korisničkim računima i razbijanje njihove enkripcije—koja se zasniva na korisničkim lozinkama—offline.
Više o ovome u:
KerberoastKada dobijete neke kredencijale, možete proveriti da li imate pristup bilo kojoj mašini. U tom smislu, možete koristiti CrackMapExec da pokušate povezivanje na nekoliko servera sa različitim protokolima, u skladu sa vašim skeniranjem portova.
Ako imate kompromitovane kredencijale ili sesiju kao običan domen korisnik i imate pristup sa ovim korisnikom bilo kojoj mašini u domenu, trebali biste pokušati da pronađete način da escalirate privilegije lokalno i tražite kredencijale. To je zato što samo sa lokalnim administratorskim privilegijama ćete moći da dump-ujete hash-eve drugih korisnika u memoriji (LSASS) i lokalno (SAM).
Postoji cela stranica u ovoj knjizi o lokalnoj eskalaciji privilegija u Windows-u i checklist. Takođe, ne zaboravite da koristite WinPEAS.
Veoma je malo verovatno da ćete pronaći karte u trenutnom korisniku koje vam daju dozvolu za pristup neočekivanim resursima, ali možete proveriti:
Ako ste uspeli da enumerišete aktivni direktorijum, imaćete više emailova i bolje razumevanje mreže. Možda ćete moći da primorate NTML relay napade.
Sada kada imate neke osnovne kredencijale, trebali biste proveriti da li možete pronaći bilo koje zanimljive datoteke koje se dele unutar AD. To možete uraditi ručno, ali je to veoma dosadan ponavljajući zadatak (a još više ako pronađete stotine dokumenata koje treba da proverite).
Follow this link to learn about tools you could use.
Ako možete pristupiti drugim računarima ili deljenjima, mogli biste postaviti datoteke (kao što je SCF datoteka) koje, ako se nekako pristupe, pokrenu NTML autentifikaciju protiv vas, tako da možete ukrasti NTLM izazov da biste ga razbili:
Places to steal NTLM credsOva ranjivost je omogućila bilo kojem autentifikovanom korisniku da kompromituje kontroler domena.
PrintNightmareZa sledeće tehnike običan korisnik domena nije dovoljan, potrebni su vam posebni privilegije/kredencijali da biste izvršili ove napade.
Nadamo se da ste uspeli da kompromitujete neki lokalni admin nalog koristeći AsRepRoast, Password Spraying, Kerberoast, Responder uključujući relaying, EvilSSDP, escalating privileges locally. Zatim, vreme je da izvučete sve hash-ove iz memorije i lokalno. Read this page about different ways to obtain the hashes.
Kada imate hash korisnika, možete ga koristiti da se pretvarate da ste to vi. Trebalo bi da koristite neki alat koji će izvršiti NTLM autentifikaciju koristeći taj hash, ili možete kreirati novu sessionlogon i ubaciti taj hash unutar LSASS, tako da kada se izvrši bilo koja NTLM autentifikacija, taj hash će biti korišćen. Poslednja opcija je ono što radi mimikatz. Read this page for more information.
Ovaj napad ima za cilj da koristi NTLM hash korisnika za zahtev Kerberos karata, kao alternativu uobičajenom Pass The Hash preko NTLM protokola. Stoga, ovo bi moglo biti posebno korisno u mrežama gde je NTLM protokol onemogućen i gde je samo Kerberos dozvoljen kao autentifikacioni protokol.
Over Pass the Hash/Pass the KeyU metodi napada Pass The Ticket (PTT), napadači kradu korisničku autentifikacionu kartu umesto njihove lozinke ili hash vrednosti. Ova ukradena karta se zatim koristi da se pretvara korisnik, stičući neovlašćen pristup resursima i uslugama unutar mreže.
Pass the TicketAko imate hash ili lozinku lokalnog administrator-a, trebali biste pokušati da se prijavite lokalno na druge PC-e sa njom.
Napomena da je ovo prilično bučno i da bi LAPS to ublažio.
Ako korisnik ima privilegije za pristup MSSQL instancama, mogao bi biti u mogućnosti da ih koristi za izvršavanje komandi na MSSQL hostu (ako se pokreće kao SA), ukrade NetNTLM hash ili čak izvrši relay napad. Takođe, ako je MSSQL instanca pouzdana (povezivanje baze podataka) od strane druge MSSQL instance. Ako korisnik ima privilegije nad pouzdanom bazom podataka, moći će da iskoristi odnos poverenja za izvršavanje upita i u drugoj instanci. Ove veze se mogu povezivati i u nekom trenutku korisnik bi mogao da pronađe pogrešno konfigurisanu bazu podataka gde može izvršavati komande. Povezivanje između baza podataka funkcioniše čak i preko šuma poverenja.
MSSQL AD AbuseAko pronađete bilo koji objekat Računara sa atributom ADS_UF_TRUSTED_FOR_DELEGATION i imate privilegije domena na računaru, moći ćete da izvučete TGT-ove iz memorije svih korisnika koji se prijave na računar. Dakle, ako se Domain Admin prijavi na računar, moći ćete da izvučete njegov TGT i da se pretvarate da je on koristeći Pass the Ticket. Zahvaljujući kontrolisanoj delegaciji, mogli biste čak i automatski kompromitovati Print Server (nadamo se da će to biti DC).
Unconstrained DelegationAko je korisniku ili računaru dozvoljena "Kontrolisana Delegacija", moći će da se pretvara u bilo kog korisnika kako bi pristupio nekim uslugama na računaru. Tada, ako kompromitujete hash ovog korisnika/računara, moći ćete da se pretvarate u bilo kog korisnika (čak i domenskih administratora) kako biste pristupili nekim uslugama.
Constrained DelegationImati WRITE privilegiju na objektu Active Directory udaljenog računara omogućava postizanje izvršenja koda sa povišenim privilegijama:
Resource-based Constrained DelegationKompromitovani korisnik mogao bi imati neke zanimljive privilegije nad nekim objektima domena koje bi vam mogle omogućiti lateralno kretanje/eskalaciju privilegija.
Abusing Active Directory ACLs/ACEsOtkrivanje Spool usluge koja sluša unutar domena može se zloupotrebiti za sticanje novih kredencijala i eskalaciju privilegija.
Force NTLM Privileged AuthenticationAko drugi korisnici pristupaju kompromitovanom računaru, moguće je prikupiti kredencijale iz memorije i čak ubaciti beacon-e u njihove procese da bi se pretvarali da su oni. Obično korisnici pristupaju sistemu putem RDP-a, pa ovde imate kako da izvršite nekoliko napada na sesije RDP trećih strana:
RDP Sessions AbuseLAPS pruža sistem za upravljanje lokalnom lozinkom administratora na računarima pridruženim domenu, osiguravajući da je nasumična, jedinstvena i često menjana. Ove lozinke se čuvaju u Active Directory-u, a pristup se kontroliše putem ACL-a samo za ovlašćene korisnike. Sa dovoljnim privilegijama za pristup ovim lozinkama, prelazak na druge računare postaje moguć.
LAPSPrikupljanje sertifikata sa kompromitovanog računara može biti način za eskalaciju privilegija unutar okruženja:
AD CS Certificate TheftAko su ranjivi šabloni konfigurisani, moguće ih je zloupotrebiti za eskalaciju privilegija:
AD CS Domain EscalationKada dobijete privilegije Domain Admin ili još bolje Enterprise Admin, možete izvući domen bazu podataka: ntds.dit.
Više informacija o DCSync napadu možete pronaći ovde.
Više informacija o tome kako ukrasti NTDS.dit možete pronaći ovde
Neke od tehnika o kojima se ranije govorilo mogu se koristiti za persistenciju. Na primer, mogli biste:
Učiniti korisnike ranjivim na Kerberoast
Učiniti korisnike ranjivim na ASREPRoast
Dodeliti DCSync privilegije korisniku
Srebrni napad stvara legitimnu kartu za uslugu dodeljivanja (TGS) za određenu uslugu koristeći NTLM hash (na primer, hash PC računa). Ova metoda se koristi za pristup privilegijama usluge.
Silver TicketZlatni napad uključuje napadača koji dobija pristup NTLM hash-u krbtgt računa u Active Directory (AD) okruženju. Ovaj račun je poseban jer se koristi za potpisivanje svih karata za dodeljivanje karata (TGT), koje su ključne za autentifikaciju unutar AD mreže.
Kada napadač dobije ovaj hash, može kreirati TGT za bilo koji račun koji izabere (napad srebrne karte).
Golden TicketOve su poput zlatnih karata, ali su krivotvorene na način koji zaobilazi uobičajene mehanizme detekcije zlatnih karata.
Diamond TicketImati sertifikate računa ili biti u mogućnosti da ih zatražite je veoma dobar način da se zadržite u korisničkom računu (čak i ako promeni lozinku):
AD CS Account PersistenceKorišćenje sertifikata je takođe moguće za persistenciju sa visokim privilegijama unutar domena:
AD CS Domain PersistenceAdminSDHolder objekat u Active Directory osigurava bezbednost privilegovanih grupa (kao što su Domain Admins i Enterprise Admins) primenom standardne Liste Kontrole Pristupa (ACL) na ovim grupama kako bi se sprečile neovlašćene promene. Međutim, ova funkcija se može zloupotrebiti; ako napadač izmeni ACL AdminSDHolder-a kako bi dao potpuni pristup običnom korisniku, taj korisnik dobija opsežnu kontrolu nad svim privilegovanim grupama. Ova mera bezbednosti, koja je zamišljena da štiti, može se tako obrnuti, omogućavajući neovlašćen pristup osim ako se ne prati pažljivo.
Više informacija o AdminDSHolder Grupi ovde.
Unutar svakog Domen Kontrolera (DC) postoji lokalni administratorski račun. Dobijanjem administratorskih prava na takvom računaru, hash lokalnog administratora može se izvući koristeći mimikatz. Nakon toga, potrebna je modifikacija registra da bi se omogućila upotreba ove lozinke, što omogućava daljinski pristup lokalnom administratorskom računu.
DSRM CredentialsMožete dati neke posebne privilegije korisniku nad nekim specifičnim objektima domena koje će omogućiti korisniku eskalaciju privilegija u budućnosti.
Abusing Active Directory ACLs/ACEsBezbednosni deskriptori se koriste za čuvanje privilegija koje objekat ima nad objektom. Ako možete samo napraviti malo promene u bezbednosnom deskriptoru objekta, možete dobiti veoma zanimljive privilegije nad tim objektom bez potrebe da budete član privilegovane grupe.
Security DescriptorsIzmenite LSASS u memoriji da uspostavite univerzalnu lozinku, omogućavajući pristup svim domena računima.
Skeleton KeySaaznajte šta je SSP (Security Support Provider) ovde. Možete kreirati svoj prilagođeni SSP da prikupite u čistom tekstu kredencijale korišćene za pristup mašini.\
Custom SSPRegistruje novi Domen Kontroler u AD i koristi ga za guranja atributa (SIDHistory, SPNs...) na određenim objektima bez ostavljanja bilo kakvih logova u vezi sa modifikacijama. Potrebne su DA privilegije i morate biti unutar root domena. Napomena da ako koristite pogrešne podatke, pojaviće se prilično ružni logovi.
DCShadowRanije smo razgovarali o tome kako eskalirati privilegije ako imate dovoljno dozvola za čitanje LAPS lozinki. Međutim, ove lozinke se takođe mogu koristiti za održavanje persistencije. Proverite:
LAPSMicrosoft gleda na Šumu kao na bezbednosnu granicu. To implicira da kompromitovanje jednog domena može potencijalno dovesti do kompromitovanja cele šume.
Poverenje domena je bezbednosni mehanizam koji omogućava korisniku iz jednog domena da pristupi resursima u drugom domenu. U suštini, stvara vezu između sistema autentifikacije dva domena, omogućavajući nesmetano proticanje verifikacija autentifikacije. Kada domeni postave poverenje, razmenjuju i zadržavaju specifične ključeve unutar svojih Domen Kontrolera (DC), koji su ključni za integritet poverenja.
U tipičnom scenariju, ako korisnik želi da pristupi usluzi u pouzdanom domenu, prvo mora zatražiti posebnu kartu poznatu kao inter-realm TGT od svog domena DC. Ova TGT je enkriptovana zajedničkim ključem na kojem su se oba domena dogovorila. Korisnik zatim predstavlja ovu TGT DC-u pouzdane domene da bi dobio kartu za uslugu (TGS). Nakon uspešne validacije inter-realm TGT od strane DC-a pouzdane domene, izdaje TGS, dajući korisniku pristup usluzi.
Koraci:
Klijentski računar u Domenu 1 započinje proces koristeći svoj NTLM hash da zatraži Kartu za dodeljivanje karata (TGT) od svog Domen Kontrolera (DC1).
DC1 izdaje novu TGT ako je klijent uspešno autentifikovan.
Klijent zatim traži inter-realm TGT od DC1, koja je potrebna za pristup resursima u Domenu 2.
Inter-realm TGT je enkriptovana zajedničkim ključem poverenja između DC1 i DC2 kao deo dvosmernog poverenja domena.
Klijent uzima inter-realm TGT do Domen Kontrolera Domene 2 (DC2).
DC2 verifikuje inter-realm TGT koristeći svoj zajednički ključ poverenja i, ako je važeća, izdaje Kartu za dodeljivanje usluga (TGS) za server u Domenu 2 kojem klijent želi pristupiti.
Na kraju, klijent predstavlja ovaj TGS serveru, koji je enkriptovan hash-om računa servera, da bi dobio pristup usluzi u Domenu 2.
Važno je primetiti da poverenje može biti jednostrano ili dvostrano. U dvostranoj opciji, oba domena će se međusobno poveravati, ali u jednostranom odnosu poverenja jedan od domena će biti pouzdan, a drugi pouzdavajući domen. U poslednjem slučaju, moći ćete pristupiti resursima unutar pouzdavajućeg domena samo iz pouzdanog.
Ako Domen A poverava Domenu B, A je pouzdavajući domen, a B je pouzdani. Štaviše, u Domenu A, ovo bi bilo Outbound poverenje; a u Domenu B, ovo bi bilo Inbound poverenje.
Različiti odnosi poverenja
Poverenja roditelj-dete: Ovo je uobičajena postavka unutar iste šume, gde dete domen automatski ima dvosmerno tranzitivno poverenje sa svojim roditeljskim domenom. U suštini, to znači da zahtevi za autentifikaciju mogu nesmetano teći između roditelja i deteta.
Cross-link poverenja: Poznate kao "prečice poverenja", ove se uspostavljaju između domena dece kako bi se ubrzali procesi upućivanja. U složenim šumama, upućivanja za autentifikaciju obično moraju putovati do korena šume, a zatim do ciljnog domena. Kreiranjem cross-linkova, putovanje se skraćuje, što je posebno korisno u geografskim raspršenim okruženjima.
Spoljašnja poverenja: Ova se postavljaju između različitih, nepovezanih domena i po prirodi su netransitivna. Prema Microsoftovoj dokumentaciji, spoljašnja poverenja su korisna za pristup resursima u domenu izvan trenutne šume koji nije povezan šumskim poverenjem. Bezbednost se pojačava filtriranjem SID-a sa spoljašnjim poverenjima.
Poverenja korena stabla: Ova poverenja se automatski uspostavljaju između korenskog domena šume i novododatog korena stabla. Iako se ne susreću često, poverenja korena stabla su važna za dodavanje novih domena stabla u šumu, omogućavajući im da zadrže jedinstveno ime domena i osiguravajući dvosmernu tranzitivnost. Više informacija može se naći u Microsoftovom vodiču.
Poverenja šume: Ova vrsta poverenja je dvosmerno tranzitivno poverenje između dva korenska domena šume, takođe primenjujući filtriranje SID-a kako bi se poboljšale mere bezbednosti.
MIT poverenja: Ova poverenja se uspostavljaju sa ne-Windows, RFC4120-kompatibilnim Kerberos domenima. MIT poverenja su malo specijalizovanija i prilagođena su okruženjima koja zahtevaju integraciju sa Kerberos-baziranim sistemima van Windows ekosistema.
Odnos poverenja može biti tranzitivan (A poverava B, B poverava C, onda A poverava C) ili netransitivan.
Odnos poverenja može biti postavljen kao dvosmerno poverenje (oba se međusobno poveravaju) ili kao jednostrano poverenje (samo jedan od njih se poverava drugom).
Enumerisati odnose poverenja
Proveriti da li bilo koji bezbednosni princip (korisnik/grupa/računar) ima pristup resursima drugog domena, možda putem ACE unosa ili članstvom u grupama drugog domena. Potražite odnose preko domena (poverenje je verovatno stvoreno za ovo).
Kerberoast u ovom slučaju bi mogao biti još jedna opcija.
Kompromitovati račune koji mogu preći između domena.
Napadači bi mogli pristupiti resursima u drugom domenu putem tri osnovna mehanizma:
Članstvo u lokalnoj grupi: Principi mogu biti dodati lokalnim grupama na mašinama, kao što je grupa "Administratori" na serveru, dajući im značajnu kontrolu nad tom mašinom.
Članstvo u grupi stranog domena: Principi takođe mogu biti članovi grupa unutar stranog domena. Međutim, efikasnost ove metode zavisi od prirode poverenja i obima grupe.
Liste Kontrole Pristupa (ACL): Principi mogu biti navedeni u ACL, posebno kao entiteti u ACE unutar DACL, pružajući im pristup specifičnim resursima. Za one koji žele dublje da istraže mehaniku ACL-a, DACL-a i ACE-a, beleška pod nazivom “An ACE Up The Sleeve” je neprocenjiv resurs.
Postoje 2 poverena ključa, jedan za Dete --> Roditelj i drugi za Roditelj --> Dete. Možete koristiti onaj koji koristi trenutna domena sa:
Povećajte privilegije kao Enterprise admin na child/parent domeni zloupotrebom poverenja sa SID-History injekcijom:
SID-History InjectionRazumevanje kako se Configuration Naming Context (NC) može iskoristiti je ključno. Configuration NC služi kao centralni repozitorijum za konfiguracione podatke širom šume u Active Directory (AD) okruženjima. Ovi podaci se repliciraju na svaki Domain Controller (DC) unutar šume, pri čemu pisivi DC-ovi održavaju pisanu kopiju Configuration NC. Da bi se ovo iskoristilo, potrebno je imati SYSTEM privilegije na DC-u, po mogućstvu na child DC-u.
Povežite GPO sa root DC lokacijom
Container lokacija Configuration NC uključuje informacije o svim računarima pridruženim domeni unutar AD šume. Operišući sa SYSTEM privilegijama na bilo kojem DC-u, napadači mogu povezati GPO-ove sa root DC lokacijama. Ova akcija potencijalno ugrožava root domen tako što manipuliše politikama primenjenim na ovim lokacijama.
Za detaljne informacije, može se istražiti istraživanje o Zaobilaženju SID filtriranja.
Ugrožavanje bilo kog gMSA u šumi
Jedan od vektora napada uključuje ciljanje privilegovanih gMSA unutar domena. KDS Root ključ, koji je ključan za izračunavanje lozinki gMSA, čuva se unutar Configuration NC. Sa SYSTEM privilegijama na bilo kojem DC-u, moguće je pristupiti KDS Root ključu i izračunati lozinke za bilo koji gMSA širom šume.
Detaljna analiza može se naći u diskusiji o Golden gMSA Trust napadima.
Napad na promenu šeme
Ova metoda zahteva strpljenje, čekajući na kreiranje novih privilegovanih AD objekata. Sa SYSTEM privilegijama, napadač može izmeniti AD šemu kako bi dodelio bilo kojem korisniku potpunu kontrolu nad svim klasama. Ovo bi moglo dovesti do neovlašćenog pristupa i kontrole nad novokreiranim AD objektima.
Dalje čitanje je dostupno o Napadima na promenu šeme.
Od DA do EA sa ADCS ESC5
ADCS ESC5 ranjivost cilja kontrolu nad objektima javne infrastrukture ključeva (PKI) kako bi se kreirala šablon sertifikata koji omogućava autentifikaciju kao bilo koji korisnik unutar šume. Kako PKI objekti borave u Configuration NC, kompromitovanje pisivog child DC-a omogućava izvršenje ESC5 napada.
Više detalja o ovome može se pročitati u Od DA do EA sa ESC5. U scenarijima bez ADCS, napadač ima mogućnost da postavi potrebne komponente, kao što je diskutovano u Povećanju privilegija od Child Domain Admins do Enterprise Admins.
U ovom scenariju vaš domen je poveren spoljašnjem, što vam daje neodređene dozvole nad njim. Moraćete da pronađete koji principi vašeg domena imaju koji pristup spoljašnjem domenu i zatim pokušati da to iskoristite:
External Forest Domain - OneWay (Inbound) or bidirectionalU ovom scenariju vaša domena pouzdava neka prava principalu iz druge domene.
Međutim, kada je domena poverena od strane pouzdane domene, poverena domena kreira korisnika sa predvidivim imenom koji koristi kao lozinku poverenu lozinku. Što znači da je moguće pristupiti korisniku iz pouzdane domene kako bi se ušlo u poverenu da se enumeriše i pokuša da se eskalira više prava:
External Forest Domain - One-Way (Outbound)Drugi način da se kompromituje poverena domena je da se pronađe SQL poverena veza kreirana u suprotnoj pravcu od poverenja domena (što nije baš uobičajeno).
Još jedan način da se kompromituje poverena domena je da se čeka na mašini na kojoj korisnik iz poverene domene može pristupiti da se prijavi putem RDP. Tada bi napadač mogao da ubaci kod u proces RDP sesije i pristupi izvornoj domeni žrtve odatle. Štaviše, ako je žrtva montirala svoj hard disk, iz RDP sesije napadač bi mogao da sačuva backdoor-e u folderu za pokretanje hard diska. Ova tehnika se naziva RDPInception.
RDP Sessions AbuseRizik od napada koji koriste SID istorijski atribut preko šuma poverenja je smanjen SID filtriranjem, koje je podrazumevano aktivirano na svim međuforestnim poverenjima. Ovo se zasniva na pretpostavci da su intra-forest poverenja sigurna, smatrajući šumu, a ne domenu, kao bezbednosnu granicu prema stavu Microsoft-a.
Međutim, postoji caka: SID filtriranje može ometati aplikacije i pristup korisnicima, što dovodi do povremene deaktivacije.
Za međuforestna poverenja, primena selektivne autentifikacije osigurava da korisnici iz dve šume nisu automatski autentifikovani. Umesto toga, potrebne su eksplicitne dozvole za korisnike da pristupe domenama i serverima unutar pouzdane domene ili šume.
Važno je napomenuti da ove mere ne štite od eksploatacije zapisivog Konfiguracionog imenskog konteksta (NC) ili napada na račun poverenja.
Više informacija o poverenjima domena na ired.team.
Saznajte više o tome kako zaštititi kredencijale ovde.\
Ograničenja za administratore domena: Preporučuje se da se administratorima domena dozvoli samo prijavljivanje na kontrolere domena, izbegavajući njihovu upotrebu na drugim hostovima.
Prava servisnog naloga: Servisi ne bi trebali da se pokreću sa privilegijama administratora domena (DA) kako bi se održala bezbednost.
Ograničenje trajanja privilegija: Za zadatke koji zahtevaju DA privilegije, njihovo trajanje bi trebalo ograničiti. To se može postići: Add-ADGroupMember -Identity ‘Domain Admins’ -Members newDA -MemberTimeToLive (New-TimeSpan -Minutes 20)
Implementacija obmane uključuje postavljanje zamki, poput mamac korisnika ili računara, sa karakteristikama kao što su lozinke koje ne isteknu ili su označene kao poverene za delegaciju. Detaljan pristup uključuje kreiranje korisnika sa specifičnim pravima ili dodavanje u grupe sa visokim privilegijama.
Praktičan primer uključuje korišćenje alata kao što su: Create-DecoyUser -UserFirstName user -UserLastName manager-uncommon -Password Pass@123 | DeployUserDeception -UserFlag PasswordNeverExpires -GUID d07da11f-8a3d-42b6-b0aa-76c962be719a -Verbose
Više o implementaciji tehnika obmane može se naći na Deploy-Deception na GitHub-u.
Za korisničke objekte: Sumnjivi indikatori uključuju atipični ObjectSID, retke prijave, datume kreiranja i nizak broj loših lozinki.
Opšti indikatori: Upoređivanje atributa potencijalnih mamac objekata sa onima pravih može otkriti neslaganja. Alati poput HoneypotBuster mogu pomoći u identifikaciji takvih obmana.
Zaobilaženje Microsoft ATA detekcije:
Enumeracija korisnika: Izbegavanje enumeracije sesija na kontrolerima domena kako bi se sprečila ATA detekcija.
Impersonacija karte: Korišćenje aes ključeva za kreiranje karata pomaže u izbegavanju detekcije ne prebacujući se na NTLM.
DCSync napadi: Preporučuje se izvršavanje sa non-Domain Controller-a kako bi se izbegla ATA detekcija, jer direktno izvršavanje sa kontrolera domena izaziva upozorenja.
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
